Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

SCION – Allheilmittel gegen DDoS-Angriffe?
Mathias Blarer
Mathias Blarer
|
02.08.2023
(aktualisiert am: 09.09.2024)

Sogenannte DDoS-Angriffe (Distributed Denial of Service) auf IT-Infrastrukturen nehmen zu – auch Behörden und kritische Infrastrukturen sind betroffen. Kann die in der Schweiz entwickelte SCION-Technologie künftig das Lahmlegen von Internetdiensten verhindern?

SCION – Allheilmittel gegen DDoS-Angriffe?

DDoS-Angriffe sind in aller Munde: Laut dem 2022-2023 Global Threat Analysis Report von Radware lag die Zunahme an DDoS-Angriffen im Jahr 2022 bei 150% im Vergleich zum Vorjahr; im seit Februar 2022 andauernden Ukrainekrieg ist DDoS laut britischen Behörden Teil der Kriegsführung; und hierzulande hat ein kürzlich erfolgter DDoS-Angriff auf die Schweizer Bundesverwaltung für Aufsehen gesorgt.

Angesichts dieser Bedrohung stellt sich unweigerlich die Frage, wie man sich vor solchen Angriffen schützen kann. Neue Ansätze zur Abwehr von DDoS-Angriffen könnte eine aufstrebende Internetarchitektur namens SCION (SCION Internet Architecture) liefern. Um zu beurteilen, inwiefern DDoS-Angriffe durch SCION reduziert oder möglicherweise verhindert werden können, ist zunächst ein grundlegendes Verständnis von DDoS erforderlich.

DDoS – Orchestrierung eines Internetstaus

Die als Distributed Denial of Service (DDoS) bezeichneten Angriffe zielen auf die Verfügbarkeit eines Internetdienstes ab, indem möglichst viele Rechner (sogenannte Bots) den Dienst gleichzeitig mit Anfragen überhäufen. Wenn ein Angreifer genügend Bots kontrolliert, kann der so erzeugte Internetstau eine Webseite oder sonstige Internetdienste für längere Zeit lahmlegen.

DDoS-Angriffe können auf mehrere Arten durchgeführt werden. Wir teilen die Angriffsvektoren daher in drei Kategorien ein:

  • Netzwerkbasierte («volumetrische») Angriffe: Es werden möglichst viele Datenpakete zum angegriffenen Server oder Netzwerk geschickt, so dass die verfügbare Bandbreite völlig aufgebraucht wird. Legitime Anfragen können deshalb nicht mehr durchgestellt werden.
  • Protokollbasierte Angriffe: Es werden grundlegende Sicherheitsdefizite in aktuellen Internetprotokollen wie TCP und IP ausgenutzt, um die Netzwerkressourcen eines im Internet exponierten Servers aufzubrauchen oder volumetrische Angriffe zu vereinfachen. Ein Beispiel für solche Angriffe ist das SYN Flooding.
  • Applikationsbasierte Angriffe: Um einen Dienst über das Internet lahmzulegen, muss jedoch nicht unbedingt die Internetverbindung selbst angegriffen werden. Falls eine Internetapplikation den Aufruf von rechen- oder speicherintensiven Funktionen (z. B. Datenbankabfragen) nicht einschränkt, können die verfügbare Rechenleistung oder der Speicher eines Servers schnell erschöpft werden. Auf diesem Weg können sogar Systeme angegriffen werden, die nicht direkt über das Internet erreichbar sind (z. B. ein Datenbankserver).

Wie ein genauerer Blick auf SCION zeigt, kann nur ein Teil der obenstehenden DDoS-Angriffsvektoren durch die SCION-Internetarchitektur verhindert bzw. erschwert werden.

SCION – Internetsicherheit aus der Schweiz

Die SCION-Internetarchitektur wurde an der ETH Zürich entwickelt und soll die Effizienz, Skalierbarkeit und Sicherheit des Internets erhöhen. In gewisser Weise bringt SCION das Internet ins 21. Jahrhundert, denn die meisten der aktuell verwendeten Internetprotokolle gehen auf die Anfänge des Internets zurück. Damals wurde insbesondere der Datensicherheit weniger Beachtung geschenkt als heute. Davon zeugen zahlreiche Sicherheitsrisiken im Internet, bei denen SCION Abhilfe schaffen soll: Nebst den hier thematisierten DDoS-Angriffen betrifft dies beispielsweise auch das BGP Hijacking (wir berichteten).

Das Internet ist bekanntlich ein riesiges Netzwerk von Rechnern, die miteinander verbunden sind. Die Art und Weise, wie Datenpakete von einem Rechner zu einem anderen geschickt werden, wird mit SCION neu definiert. Der Pfad, den ein Datenpaket auf seiner Reise durch das Internet nimmt, wird im Vergleich zur jetzigen Internetarchitektur nicht mehr dynamisch bestimmt, sondern vom Absender im Voraus gewählt. Dieser Paradigmenwechsel eröffnet neue Möglichkeiten in der Bekämpfung von netzwerkbasierten DDoS-Angriffen, beispielsweise das schnelle Umschalten des Datentransfers auf noch funktionierende Internetleitungen im Angriffsfall. Netzwerkbasiertes DDoS wird so durch den Einsatz von SCION erschwert, aber nicht per se verunmöglicht. SCION bietet deshalb optionale Zusatzmassnahmen an, z. B. die Reservierung einer DDoS-geschützten Mindestbandbreite zwischen zwei SCION-Netzwerken. Ob solche Massnahmen auch für öffentlich zugängliche Dienste wie Behördenwebseiten umsetzbar sind, ist aber fraglich, da der Zugriff auf öffentliche Dienste per Definition nicht auf bestimmte autorisierte Benutzer eingeschränkt werden kann. Das Fehlen einer solchen Einschränkung bedeutet wiederum, dass die jeweils für ein bestimmtes Netzwerk reservierte Bandbreite von Bots innerhalb des Netzwerks mittels DDoS angegriffen werden kann. Ausserdem stellt sich die Frage, wer in so einem Fall die Kosten für die reservierte Internetbandbreite übernehmen würde.

Indem SCION einen Teil der bisherigen Internetprotokolle ablöst und mit sichereren Protokollen ersetzt, können auch einige protokollbasierte DDoS-Angriffe verhindert werden. Beispielsweise kann mit SCION die Absenderadresse eines Datenpakets nicht mehr beliebig gefälscht werden – dieses sogenannte Address Spoofing ist ansonsten ein Mittel, um das Ausmass von volumetrischen DDoS-Angriffen zu verstärken. Andere protokollbasierte Angriffsvektoren wie das früher erwähnte SYN Flooding können jedoch auch mit SCION nicht ausgeschlossen werden.

Während das Risiko aus den beiden vorherigen DDoS-Kategorien durch die Verwendung der SCION-Internetarchitektur zumindest teilweise reduziert werden kann, ist dies bei applikationsbasierten DDoS-Angriffen nicht der Fall. Die Applikationslogik ist diesbezüglich unabhängig von der verwendeten Netzwerkarchitektur. DDoS-Anfälligkeiten, die auf die Applikation zurückzuführen sind, können aber mithilfe von technischen Sicherheitsaudits gefunden und anschliessend mit einer Anpassung der Software behoben werden.

Wie schütze ich mich vor DDoS-Angriffen?

So wie DDoS-Angriffe aus einem Mix von verschiedenen Angriffsvektoren bestehen können, sollte auch ein nachhaltiges DDoS-Risikomanagement aus einer Mischung von sich ergänzenden Schutzmassnahmen bestehen:

  • Analysieren Sie die Angriffsfläche Ihres IT-Netzwerks und den Schaden, den ein DDoS-Angriff auf einen oder mehrere Ihrer Systeme anrichten könnte.
  • Minimieren Sie Ihre Angriffsfläche, indem Sie nur notwendige Dienste aus dem Internet erreichbar machen.
  • Arbeiten Sie bei Ihrer kritischen Infrastruktur mit redundanten Systemen, die bei einem Ausfall aktiviert werden können. Sichern Sie Ihre Daten und üben Sie deren Wiederherstellung.
  • Prüfen Sie auch die Möglichkeit von redundanten Internetanschlüssen durch unterschiedliche Internet Service Provider (ISP).
  • Evaluieren Sie verschiedene DDoS-Schutzlösungen (Cloudflare, Akamai etc.) und setzen Sie mitunter auf Load Balancer. Versuchen Sie hierbei ein «Klumpenrisiko» zu vermeiden, sollten andere Unternehmen, die denselben Service desselben Anbieters oder ISPs brauchen, Ziel einer DDoS-Attacke werden.
  • SCION kann Teil Ihrer DDoS-Strategie sein, muss es aber (noch) nicht. Einen Mehrwert bietet SCION heute am ehesten in regionalen oder globalen IT-Netzwerken, die nach aussen hin geschlossen sind, wie es beispielsweise beim Secure Swiss Finance Network (SSFN) oder bei international tätigen Unternehmen der Fall ist. In solchen Netzwerken ist nämlich sichergestellt, dass alle Netzwerkteilnehmer über einen SCION-Anschluss verfügen. Die Kommunikation untereinander besitzt so höhere Sicherheitsgarantien als bei einer einseitigen SCION-Verbindung.
  • Lassen Sie Ihre von extern erreichbaren Internetdienste regelmässig von Sicherheitsexperten auditieren. Damit können Sie nicht nur mögliche DDoS-Anfälligkeiten in Ihrer Applikationslogik, sondern auch weitere Schwachstellen finden, die für Ihre Sicherheit relevant sind.

Fazit

DDoS-Angriffe stellen eine ernsthafte Bedrohung für Unternehmen, Behörden und kritische Infrastrukturen dar. SCION bietet im Vergleich zur jetzigen Internetarchitektur einen erhöhten Schutz gegen netzwerk- und protokollbasiertes DDoS, ist aber auch kein Allheilmittel gegen alle DDoS-Angriffe. Gerade applikationsbasierte DDoS-Angriffsvektoren können nicht durch Anpassungen in der Netzwerkarchitektur, sondern vielmehr in der Applikationslogik verhindert werden.

Getreu dem Motto «together against cyberattacks» begrüsst Oneconsult jede Entwicklung, welche die Sicherheit von Kunden vorantreibt. Wenn Sie Ihr Unternehmen nachhaltiger vor DDoS und anderen Cyber-Angriffen schützen wollen – mit oder ohne SCION – unterstützen und beraten wir Sie daher gerne. Unsere Sicherheitsexperten freuen sich darauf, von Ihnen zu hören!

Mathias Blarer

Autor

Mathias Blarer ist Penetration Tester bei Oneconsult. Er ist zertifizierter OSSTMM Professional Security Tester (OPST), Burp Suite Certified Practitioner (BSCP) und OffSec Certified Professional (OSCP).

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen